请教去除千千静听的自校验-¥付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 请教去除千千静听的自校验 0.00雪花

2010-7-5 23:26 6160

[旧帖] 请教去除千千静听的自校验 0.00雪花

wishwolf

2010-7-5 23:26

6160

在学习去广告时碰到的问题

将ttpres.dll里的资源任意改一个字符都会出现

load resource ttpres.dll failed,please resetup this program

不知道是 CRC还是MD5校验
这问题早在07年有人在看雪上提过
http://bbs.pediy.com/showthread.php?t=46893
但没有解决答案

请教高手如何去除这个问题，并且我替换好资源后有办法再回复这个自校验么？

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

点赞・0

打赏

最新回复 (17)
黑梦雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	黑梦 2010-7-6 00:53 2 楼 0 去网上下载个破解版的不就可以
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 08:46 3 楼 0 网上有就好了这个软件本身就是免费的谁去破解他呢！
EvilKnight 雪币： 334 活跃值： (602) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 619 粉丝 15 关注私信	EvilKnight 4 2010-7-6 09:21 4 楼 0 我随便扫了下没有看到MD5 去广告好像不会有这些问题吧！我是直接用Winhex打开，然后找unicode的http:再看哪个地址可疑，就用0填掉！
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 09:48 5 楼 0 回楼上的因为我想把他的默认皮肤换掉默认皮肤就在那个DLL里可是那个DLL任意改个字符都会出错不解怎么去除这个自校验！
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-7-6 10:12 6 楼 0 我跟踪了一下ttplayer5.6.0.0，完全没壳，很容易分析。校验代码在exe里面，但校验值在dll里面，在第0x24字节开始的四字节是校验码。可以爆破，在exe的0x4b0251处有一个je，改成nop就去了自校验。一般这种有MessageBox弹出来的分析方法都很简单，首先用OD载入，F9运行，弹出错误提示，点OD上面的暂停运行，找调用堆栈，找到最近一个exe空间的返回地址，跟过去，往上找函数入口（push ebp；mov ebp, esp），下断后再次运行，跟踪一下就万事大吉。不过难得ttplayer都完全免费了，拿来练手还行，改了别人的东西发出去就不厚道了。
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 11:07 7 楼 0 谢谢楼上的朋友，可否留个邮箱或者QQ，我在去除他的自动更新，用的你方法，下断后无法继续运行我把我想破解的两个版本放在中转站里，麻烦你帮我破解下可以么？我的邮箱是 regal2002@163.com 先谢谢了！ http://mail.qq.com/cgi-bin/ftnExs_download?k=793235364eb2d5c9c7e7513643650b190e05565506565f531404055000480d0601041854505c5d1b0f56060204510b0f0e045407656e39774b515d5f130017445840350b&t=exs_ftn_download&code=9256ee96
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-7-6 13:53 8 楼 0 自动更新设置里面就可以改成不更新啊，还要破解干嘛？
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 14:03 9 楼 0 他默认是自动更新的我只是想照着自己的想法去改请教了！
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-7-6 14:27 10 楼 0 你上传的只有一个exe带两个dll，这没法调试的。就以5.6.0.0为例，我没发现它自动更新的啊。你是想让这个默认选择到“不检查”一栏么？上传的附件： a.PNG （49.57kb，121次下载）
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 14:38 11 楼 0 是的我知道他的设置是保存在XML里我是想在资源把这个自动更新去掉，默认就没有自动更新因为我选择5.0的原因是 5.0后的版本就加入了在线功能所以就不打算有更新了！
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 14:50 12 楼 0 好了用了你的第一个方法自校验去了但是有个不解的地方你说的自检是从0x24后开始的那我想问这后面的4个字节究竟是什么呢还有我把其他版本的DLL复制到这个版本也能运行但他们的这4个字节并不一样呀
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-7-6 15:39 13 楼 0 0x24-0x27这四字节是检验值，从哪里开始算倒没注意。 5.6.0.0它是先用CreateFile打开ttpres.dll，然后CreateFileMapping+MapViewOfFile把文件映射到内存，然后一小段代码算啊算，算完以后出来，把返回值eax和0x24-0x27这四个字节作比较（不爆破只改这四字节为那时eax的值也是可以运行的，所以应该是从之后才开始检验的），再返回，就是je了。原理就是不同的dll有不同的检验值，拷过去能运行并不奇怪。如果想把资源里面的自动更新去掉，可以用VC打开，到对话框资源里面找，5.6.0.0的ID是250，设为不可见就行。至于去掉更新功能，可能要跟踪一下立即检查对应的按钮事件了。这个就没兴趣深入研究了。
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 15:45 14 楼 0 谢谢你最后一个问题，你在6楼所写的两种方法有什么区别吗？我用了第一种方法第二中断点后就运行不了了
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-7-6 16:42 15 楼 0 6L我只说了一种方法吧？先是说了结论，比如0x4b0251的je改成nop，后来说了得出这个结论的方法。至于中断后不能运行，可能你方法不对，这时候已经不需要继续运行了。在弹出出错框后，暂停运行，然后到调用堆栈里面找调用返回地址，再往上回溯，找函数入口加断点，重新运行这个exe再跟踪，那个0x4b0251就是用这种方法找到了。
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 22:43 16 楼 0 真的很感谢你我又碰到一个问题程序里面还有一个自校验，麻烦留个Q 或邮箱好不就是我把ttpres.dll资源里的字符串编号9 那个千千静听改成了千千静听经典版又弹出了那个提示！ load resource ttpres.dll failed,please resetup this program
梦想天空雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	梦想天空 2010-7-7 00:28 17 楼 0 何必呢,找个别的软件试下啊,知道你的想法是想自己更改里面的设置,用OD吧.
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-7 09:48 18 楼 0 不是第一个问题了，在修改的时候又出现了自校验！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

wishwolf

发帖

回帖

RANK

关注

私信

他的文章

[求助]一个QT框架的分析，已经到最后一步，忘高手来帮忙

[求助]求脱壳，有花，我脱了之后，再加壳程序就不能正常打开

[求助]RLPack的壳脱壳后无法打开，请高手帮忙

请教去除千千静听的自校验

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
黑梦雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	黑梦 2010-7-6 00:53 2 楼 0 去网上下载个破解版的不就可以
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 08:46 3 楼 0 网上有就好了这个软件本身就是免费的谁去破解他呢！
EvilKnight 雪币： 334 活跃值： (602) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 619 粉丝 15 关注私信	EvilKnight 4 2010-7-6 09:21 4 楼 0 我随便扫了下没有看到MD5 去广告好像不会有这些问题吧！我是直接用Winhex打开，然后找unicode的http:再看哪个地址可疑，就用0填掉！
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 09:48 5 楼 0 回楼上的因为我想把他的默认皮肤换掉默认皮肤就在那个DLL里可是那个DLL任意改个字符都会出错不解怎么去除这个自校验！
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-7-6 10:12 6 楼 0 我跟踪了一下ttplayer5.6.0.0，完全没壳，很容易分析。校验代码在exe里面，但校验值在dll里面，在第0x24字节开始的四字节是校验码。可以爆破，在exe的0x4b0251处有一个je，改成nop就去了自校验。一般这种有MessageBox弹出来的分析方法都很简单，首先用OD载入，F9运行，弹出错误提示，点OD上面的暂停运行，找调用堆栈，找到最近一个exe空间的返回地址，跟过去，往上找函数入口（push ebp；mov ebp, esp），下断后再次运行，跟踪一下就万事大吉。不过难得ttplayer都完全免费了，拿来练手还行，改了别人的东西发出去就不厚道了。
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 11:07 7 楼 0 谢谢楼上的朋友，可否留个邮箱或者QQ，我在去除他的自动更新，用的你方法，下断后无法继续运行我把我想破解的两个版本放在中转站里，麻烦你帮我破解下可以么？我的邮箱是 regal2002@163.com 先谢谢了！ http://mail.qq.com/cgi-bin/ftnExs_download?k=793235364eb2d5c9c7e7513643650b190e05565506565f531404055000480d0601041854505c5d1b0f56060204510b0f0e045407656e39774b515d5f130017445840350b&t=exs_ftn_download&code=9256ee96
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-7-6 13:53 8 楼 0 自动更新设置里面就可以改成不更新啊，还要破解干嘛？
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 14:03 9 楼 0 他默认是自动更新的我只是想照着自己的想法去改请教了！
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-7-6 14:27 10 楼 0 你上传的只有一个exe带两个dll，这没法调试的。就以5.6.0.0为例，我没发现它自动更新的啊。你是想让这个默认选择到“不检查”一栏么？上传的附件： a.PNG （49.57kb，121次下载）
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 14:38 11 楼 0 是的我知道他的设置是保存在XML里我是想在资源把这个自动更新去掉，默认就没有自动更新因为我选择5.0的原因是 5.0后的版本就加入了在线功能所以就不打算有更新了！
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 14:50 12 楼 0 好了用了你的第一个方法自校验去了但是有个不解的地方你说的自检是从0x24后开始的那我想问这后面的4个字节究竟是什么呢还有我把其他版本的DLL复制到这个版本也能运行但他们的这4个字节并不一样呀
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-7-6 15:39 13 楼 0 0x24-0x27这四字节是检验值，从哪里开始算倒没注意。 5.6.0.0它是先用CreateFile打开ttpres.dll，然后CreateFileMapping+MapViewOfFile把文件映射到内存，然后一小段代码算啊算，算完以后出来，把返回值eax和0x24-0x27这四个字节作比较（不爆破只改这四字节为那时eax的值也是可以运行的，所以应该是从之后才开始检验的），再返回，就是je了。原理就是不同的dll有不同的检验值，拷过去能运行并不奇怪。如果想把资源里面的自动更新去掉，可以用VC打开，到对话框资源里面找，5.6.0.0的ID是250，设为不可见就行。至于去掉更新功能，可能要跟踪一下立即检查对应的按钮事件了。这个就没兴趣深入研究了。
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 15:45 14 楼 0 谢谢你最后一个问题，你在6楼所写的两种方法有什么区别吗？我用了第一种方法第二中断点后就运行不了了
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2010-7-6 16:42 15 楼 0 6L我只说了一种方法吧？先是说了结论，比如0x4b0251的je改成nop，后来说了得出这个结论的方法。至于中断后不能运行，可能你方法不对，这时候已经不需要继续运行了。在弹出出错框后，暂停运行，然后到调用堆栈里面找调用返回地址，再往上回溯，找函数入口加断点，重新运行这个exe再跟踪，那个0x4b0251就是用这种方法找到了。
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-6 22:43 16 楼 0 真的很感谢你我又碰到一个问题程序里面还有一个自校验，麻烦留个Q 或邮箱好不就是我把ttpres.dll资源里的字符串编号9 那个千千静听改成了千千静听经典版又弹出了那个提示！ load resource ttpres.dll failed,please resetup this program
梦想天空雪币： 101 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 0 关注私信	梦想天空 2010-7-7 00:28 17 楼 0 何必呢,找个别的软件试下啊,知道你的想法是想自己更改里面的设置,用OD吧.
wishwolf 雪币： 719 活跃值： (128) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 31 粉丝 1 关注私信	wishwolf 2010-7-7 09:48 18 楼 0 不是第一个问题了，在修改的时候又出现了自校验！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

[旧帖] 请教 去除千千静听的自校验 0.00雪花

[旧帖] 请教去除千千静听的自校验 0.00雪花